Blogi: Kaikki nupit kaakkoon − täydellisen turvallisuuden harha

15.04.2015

Mistä löytyy tasapaino erilaisten järjestelmien käytettävyyden ja turvallisuuden välille? Takaako tiukin mahdollinen kontrolli turvallisuuden aina parhaiten?

Hyviä perusteluja löytyy puolesta ja vastaan, mutta lopullista totuutta tuskin on olemassa.

Turvallisuus on kiistatta tärkeää − se voi olla yritykselle jopa kilpailuetu – mutta aina kannattaa pohtia, mitä ja paljonko menetetään liian yksipuolisen ja joustamattoman toiminnan seurauksena.

Usko täydellisten turvallisuusratkaisujen olemassaoloon voi olla mukavaa, mutta käytännön elämässä täydellisyys on mahdotonta. Pelkästään sen tavoittelu voi johtaa mittaviin ja täysin tarpeettomiin kustannuksiin.

Täytyy siis aina pohtia, mitä kannattaa tavoitella, millä keinoilla ja hinnalla.

Suomessa lainsäädännön kautta tehtävän tietoturvallisuuskontrollin painopiste on ollut toistaiseksi muualla kuin viranomaistoiminnassa. Mutta takaavatko laki ja virkavastuu automaattisesti turvalliset prosessit tai käytännön suojaustoimet?

Sääntelyä ja ohjeita löytyy, mutta edes viranomaisen ei ole pakko noudattaa niitä orjallisesti. Mikä erikoisinta, viranomainen ei välttämättä aina vaadi itseltään samantasoista turvallisuutta kuin kumppaniltaan, esimerkiksi yritykseltä.

Tieto voi lojua lähes suojaamattomana virastossa tai ministeriössä, mutta kun se ylittää yrityksen kynnyksen (sähköisesti tai paperilla), siihen kohdistuu yllättäen suojausvaatimuksia, joita on määrätty toimeenpantaviksi vailla selkeää ymmärrystä siitä, miten vaikuttavaa suojaaminen on.

Vähemmälle huomiolle on toistaiseksi jäänyt myös se, miten viranomaiset käsittelevät käytännössä yrityssalaisuuksia tai muita luottamuksellisia tietoja.

Valitettavan usein havaitaan, että luottamuksellista tietoa karkailee julkisuuteen juuri viranomaisilta. Sen seurauksena poliisille satelee tutkintapyyntöjä tietoturvallisuuden vaarantumisesta ja salassapitorikkomuksista. Syytettyjä nähdään kuitenkin vain harvoin tuomioistuimissa.

Samaan aikaan lukuisat yritykset tuskailevat kohtuuttomien ja kustannuksia aiheuttavien turvallisuusvaatimusten kanssa. Kaikilla vaatimuksilla ei aina saavuteta turvallisuuden näkökulmasta laadukasta lopputulosta, vaan aiheutetaan lähinnä kustannuksia ja heikennetään tehokkuutta.

Ollaan tilanteessa, jossa viranomaisen on vaikea ostaa ja yrityksen on vaikea myydä.

Hyvä kumppanuus koostuu aina sekä luottamuksesta että kontrollista. Turvallisuuden nimissä voidaan valitettavasti vaatia ratkaisuja, jotka eivät edistä turvallisuutta kovin hyvin. Kumppaneille halutaan kohdentaa vaatimuksia, joiden uskotaan ratkaisevan turvallisuuskysymykset, vaikka pikemminkin pitäisi yrittää hahmottaa, mitkä toimet vaikuttavat ja mitkä eivät.

Millaista turvallisuutta erilaiset ratkaisut sitten tuottavat? Entä mitä ne estävät? Tasapainon löytäminen ei ole helppoa, mutta ehkä sen ei pidäkään olla – sitä vartenhan yritykset ja viranomaiset palkkaavat palvelukseensa turvallisuuden ja riskienhallinnan ammattilaisia.

Kannattaisiko täydellisen turvallisuuden tavoittelun sijaan panostaa enemmän hyvän turvallisuuskulttuurin rakentamiseen? Lyhyesti sanottuna: ihmisiin ja ihmisten toimintaan?

Tällä hetkellä vallitseva yksinkertainen ja teknisesti painottunut Security by Default -ajattelu ei edistä tervettä turvallisuuskulttuuria. Yksityiskohtien tulvassa kokonaisuus jää hahmottumatta ja koko toiminnan tarkoitus voi hämärtyä. Minne unohtuivat aito riskienhallinta ja syvällinen turvallisuusosaaminen?

Viranomaisten ja yritysten välisten kauppasuhteiden tietoturva-asiat ja niihin kytkeytyvät toimintamallit lähtivät Suomessa aikanaan liikkeelle väärällä jalalla. Se ei tarkoita, etteivätkö viranomaisemme tekisi laadukasta ja arvokasta työtä tai että turvallisuutta pitäisi jotenkin heikentää − päinvastoin. Laaja strateginen näkökulma kuitenkin puuttuu.

Ehdotan, että lopetamme tehottoman telaketjuturvallisuuden sanelemisen ja alamme tehdä turvallisuutta enemmän yhdessä toisiamme kuunnellen. Se lienee ainoa vaihtoehto muuttuvassa maailmassa. Parhaita toimintamalleja ei ole koskaan löydetty määräyksiä kirjoittamalla tai yksitotisia vaatimuksia esittämällä.

Silloin olisi myös paljon helpompi ostaa ja myydä − vieläpä turvallisesti.

 

Kuva: 123rf.com